PXE终端技术在政府办公双网工程中的应用

 卓先德 （泸州职业技术学院信息工程系 泸州 646005）

摘  要   针对现行办公网络升级改造中遇到的种种困难，提出已实践成功并投入多个网络运行的用PXE终端实现真正的低成本、高效率的网络改造方案。

关键词   PXE  终端  双网隔离  无纸化办公  电子政务

1  背  景

近年来，随着计算机的速度不断提高，功能不断完善，价格大幅下降，在各行各业的应用都得到空前的发展，我国各级行政事业机构都在陆续实现无纸化办公和电子政务，大大节省了成本，提高了办公的效率。但是，由于计算机的淘汰速度太快，使得一些显得稍微旧一点的办公电脑没法继续使用或者不能很好地使用，譬如早一点的586电脑，只配备了32MB的内存和很小的硬盘，用来启动Windows 98尚显得力不从心，要用于办公或上网就实在太为难了！另外，由于政府内部网络和国际互联网（俗称内网和外网）要求物理隔离，更提出了新的要求，如果采用双网隔离卡，则要多安装一块卡和一个硬盘，量大了以后投资又非常大。

本文要给大家介绍的就是一种投资最省而且稳定性、安全性和速度都相当不错的解决方案：用PXE技术的Windows 2000终端来真正实现低成本、高效率的网络改造或组建。

2  关于PXE和终端技术

PXE（Preboot  Execution  Environment）技术是RPL（Remote Initial Program Load）技术的后一代产品，是近年来很流行的远程启动方式，它的执行速度快，工作稳定，采用镜像文件模拟软盘启动，可以选定在不同软硬件环境下启动DOS、Windows 9x系列及其它操作系统。

终端技术是基于Windows 2000 Server的一项新技术，微软推出的Windows 2000 Server是分布式多用户、多任务的操作系统，它内置了终端服务功能，给广大的386、486、586的电脑用户提供了一个廉价、实用且高效的升级机会。利用终端技术的网络上所有的终端（386、486、586电脑）均在Windows 2000 Server内部工作，相互隔离，互不干扰，终端机用的是服务器的CPU、内存、硬盘等等，终端自身的CPU、内存等几乎不进行工作，终端实际上就是一个“瘦客户机”，键盘、鼠标向服务器发出命令信号，显示器接受从服务器传回的一切显示信号。因为终端本身只负责发送命令和接收显示信息，这就是为什么终端可以是386、486那么低的配置却能像高配置的服务器一样高速运行的原理所在（不可思议的是：一台486/4M终端，打开Word 2000程序仅用一秒钟）。另外，由于网络设备只需传输命令和显示信号而没有文件和数据的传输，所以Windows 2000终端网络对网络带宽的要求极低（每台终端只占用20K左右的带宽），普通的10M网卡就能工作得很好，与传统的NT网络相比Windows 2000终端网络的网速至少提高十倍以上。

Windows 2000终端网络的安装与维护也极其简单。所有的应用软件只需在服务器上安装一遍，网络上的其它终端即可使用。并且，网络上终端的启动和应用界面与服务器一致（大家熟悉得不能再熟的Windows界面，从486开机到完全进入Windows 2000少于一分钟时间，比普通有盘站进入Windows 98还快）。另外，通过服务器可以对网络上的终端电脑进行任意的权限设置（你给予终端什么样的权限，它就只能在你设定的权限范围内运行），比如：你设定终端用户只有读取和运行的权限，那么它就只能运行你指定的应用程序，而不能对服务器上的其它软件或文件有修改和删除的权限，这项功能极大的简化了网络管理和维护的工作。简而言之，只要服务器系统和终端的硬件不损坏，Windows 2000网络就能永远正常工作，因为终端用户根本不能对服务器和终端电脑进行任何的破坏。

相对于一般有盘或无盘工作站，Windows 2000终端大致具有以下几个特点：

数据安全：Windows 2000 Server的安全性非常好，保密数据不会被非法用户窃取；

维护方便、软件集中管理、所有的软件安装和备份只需要服务器上搞定，不用到每个工作站一一进行安装和备份；另外，还节省了每站点使用第三方软件进行维护所需要的软、硬件资源开销，使得成本大大降低而性能却大大提高；

重点保护的只是Server：只需要一个UPS电源、并采用一套安全较完整的安全管理方案来管理服务器资源，就能够保证整个网络的数据安全；

减少每站点安装软盘驱动器、硬盘驱动器和硬盘保护卡、双网隔离卡以及CD-ROM等硬件和其他软件的巨额支出；

只需要一套病毒防火墙保护整个网络，避免通过软盘、硬盘感染计算机病毒；

只要服务器不停机，终端具备超过Windows 2000 Professional或Windows XP有盘站“休眠”的功能，终端用户可以随时直接重新启动甚至关机，重新启动后将立即恢复到原来的状态，因此摆脱了头疼的单机系统当机造成数据意外丢失甚至崩溃，也不必等待系统关闭；

比利用软、硬盘启动的方式快速，终端本身工作较轻松而故障率更低；

减少网络管理员维护工作站的时间与负担，系统维护只需维护服务器硬盘而已；

对工作站本身硬件环境要求极低，极其适合旧网络升级改造，真正达到变废为宝的目的，对于新投资网络，同样可以节省大笔资金；而且PXE终端网络非常健壮，我们也会因此省却大量的维护人力。

3  PXE政府办公双网的安装安法

3.1硬件准备

终端方面：为了满足政府网络双网物理隔离的要求，我们在每一个终端PC上安装两块不同型号的网卡，其中一块启动用于内网（应选用支持PXE远程启动的网卡，并加入远程启动芯片，如果主板支持，我们可以直接将PXE代码写入BIOS），另外一块用于启动外网。

服务器方面：要求采用两个配置稍微高一点的服务器，其中一台用于连接内网并提供PXE远程启动服务，另外一台用于启动到外网，因为要提供终端服务功能，所以内存要求稍微大一点，20个以内的终端起码要求256MB，建议配置512MB更多的终端则要求更大的内存，因为每个终端打开一个窗口相当于在服务器上打开了一个窗口；服务器仍然安装双网卡，一块用于连接党政网或因特网，另外一块则用于本单位局域网内的远程启动服务和文件共享服务及代理上网服务（这两个服务器可作为本单位所有有盘站和无盘终端共享上网的代理服务器）。

3.2软件安装

①　在内网服务器安装3Com的DABS (3com® Dynamic Access® Boot Services)作为服务器端为终端提供PXE远程启动服务，因为3Com的DABS有如下特点：

            A、支持同一台服务器上多块网卡同时启动无盘系统，在终端数目较多的时候可以平衡数据流量；

            B、工作站的启动速度比Intel的PXE-PDK和Storage soft等的PXE要快得多，而且兼容性更好；

            C、支持PXE启动选单，可以实现多网卡、多配置的终端方便地启动到不同的操作系统的不同的软件环境；

            D、拥有功能强大、高效而便捷的工作站和服务器管理系统；

            E、3Com 的DABS除了可以很好地支持PXE启动外，还可以同时支持TFTP、BOOTP启动。

②　安装3Com DABS后，需要制作用于内网和外网启动的镜像文件，制作方法在3Com DABS的帮助里有详细说明（笔者建议采用TCP/IP协议作为网络标准协议，这样会得到最好的速度），我们可以轻松地根据PXE启动选单选择不同的启动镜像文件来驱动不同的网卡，当我们选择一块网卡启动后，另外一块网卡就没有加载驱动程序（这可以在制作启动镜像文件时实现），那么它就处于闲置状态，可以真正达到隔离的目的。

③ 通过PXE远程启动到DOS或Windows 3x后，安装ICA Client For Dos（256色）或Windows 3x（真彩色）登录程序登录到Windows 2000 Server终端桌面，我们便可以像使用服务器一样使用本地的“瘦客户机”了。

4  安装中需要注意的一些问题

4.1 安全性考虑：虽然Windows 2000 Server的安全性非常高，但是如果设置不正确仍然可能存在隐患。首先，要求关闭“Guest”用户，因为“Guest”是用来提供给所有来宾用户，不验证用户身份，如果不禁用则所有的用户都可以浏览服务器共享给“Guests”组的资源；其次，设置文件夹的安全性，Windows 2000 Server提供了对任何文件夹限定指定用户访问权限的功能；再次，可以设置文件夹共享的属性，可以允许或排除任何指定用户访问共享文件夹。

4.2 计算机命名和IP分配：局域网内的所有计算机不能重名，IP地址也不能重复，如果雷同可能导致无盘站不能启动，有盘站不能上网；因此，网管必须对各科室的电脑进行IP分配，并进行命名规则约定。

4.3 本地如果要求使用软驱，应接在B驱上，且在CMOS参数中修改为B驱，因为A盘盘符已用作3Com DABS的PXE远程启动镜像盘。我们使用软盘时看到的应该是映射为网络驱动器的盘符，由于本地实际上只启动到DOS，所以本地软盘只支持8+3的命名规则，如果一定要使用长文件名，可以到服务器端或在本科室的有盘站通过网络进行文件存取。

4.4 如果本地仍然要求使用特殊软件，原有硬盘可以保留，但文件格式应采用DOS无法识别的FAT32或NTFS等，这样的话我们在启动到Windows 2000 终端方式后不能访问本地硬盘，方能保证真正实现双网隔离。

4.5进行用户初始环境设定：在服务器上用每一个终端用户名进行登录，对每一用户的以下几个方面进行设置：（1）文档设置：将“我的文档”指向一个比较统一的文件夹，并以超级用户身份登录后将这些文件夹设置为指定用户专用，以便进行管理，为了数据安全，原则上不要指定在C盘下，因为本人就习惯于将系统C盘做一个GHOST镜像文件隐藏起来，系统崩溃时直接恢复C盘；（2）Internet设置：设置连接到Internet的默认值，以免每个用户登录时设置错误；（3）输入法添加：加入通用的输入法，以免用户找不到输入法时不知所措。

4.6 为了保证网络稳定，减少传输延迟和数据丢失等现象，要求选用质地好的RJ45头、网线、网卡和交换机等网络介质。

5 结 语

笔者在参考互联网上的若干资料的基础上试验成功并总结出了上述的PXE终端技术网络改造方案。另外，经更多实践证明，本方案稍作变动同样适用于单网上网或单纯办公网络及教学网络改造。笔者认为，PXE终端方案是低成本改造或新建办公和教学网络的福音，它将为我们带来巨大的经济效益。

本文希望广大同仁商榷，您如果需要本文所涉及到的软件测试版本，可以直接向我索取，我将无偿提供。

通讯地址：646005  四川泸州市瓦窑坝35号泸州职业技术学院信息工程系

电子邮件：zxd1972@vip.sina.com

联系电话：0830-2882669  2994669